Die Datenschutz-Grundverordnung (kurz: DSGVO) ist seit Mai 2018 in Kraft. Die neue Datenschutzgesetzgebung der EU stellt Anforderungen an die Organisation des Datenschutzes im Unternehmen. Unter bestimmten Umständen müssen Sicherheitsdienstleister einen Datenschutzbeauftragten benennen. Der Artikel stellt dar, wann Sicherheitsunternehmen einen betrieblichen Beauftragten für Datenschutz benötigen, welche Aufgaben er hat und wie Unternehmen diese Anforderung umsetzen können. Der Artikel geht dabei insbesondere auf das Instrument der Datenschutz-Folgenabschätzung ein.

DSGVO und Bundesdatenschutzgesetz sind die Grundlagen für Datenschutz im Unternehmen

Die Verordnung (EU) 2016/679, auch Datenschutz-Grundverordnung genannt, wurde im Mai 2016 veröffentlicht und trat am 25.05.2018 in Kraft. Als EU-Verordnung gilt die DSGVO allgemein, unmittelbar und vorrangig. Das bedeutet, dass EU-weit alle nationalen Vorgaben durch die DSGVO ersetzt wurden. Insofern benennt die DSGVO Spielregeln für den Datenschutz, die in der gesamten EU gelten und zu fairem Wettbewerb führen sollen. Trotz der DSGVO existiert weiterhin ein Bundesdatenschutzgesetz (BDSG). Warum ist das notwendig? Die EU hat in der DSGVO sogenannte Öffnungsklauseln vorgesehen. Diese erlauben es den Mitgliedsstaaten die Regeln an bestimmten Stellen zu erweitern, wenn das Schutzniveau der DSGVO eingehalten wird. Der Gesetzgeber hierzulande hat davon, z. B. bei den Vorgaben für die Notwendigkeit eines Datenschutzbeauftragten (DSB), Gebrauch gemacht. Diese Regeln finden sich dann im BDSG wieder.

Womit befasst sich der Datenschutz?

Der Datenschutz und die DSGVO beziehen sich auf personenbezogene Daten. Gemeint sind Daten, die sich entweder direkt auf eine Person beziehen oder in der Kombination auf eine Person beziehen lassen (Art. 4 Nr. 1 DSGVO). Das bedeutet, wann immer Daten – und sei es getrennt – verarbeitet werden, die von einer bestimmbaren Person stammen, sind personenbezogene Daten im Spiel. Ein Dienstausweis, der eine Dienstnummer trägt, die in einer Tabelle zu einem Mitarbeiter zugeordnet ist, beinhaltet ein personenbezogenes Datum. Für Sicherheitsunternehmen heißt das: Die DSGVO muss von der Verwaltung der Kundendatei bis zum Schichtplan bei vielen Tätigkeiten beachtet werden.

In einem anderen Artikel des krisensicher-Blogs wird detaillierter erklärt, was Datenschutz ist und was Sicherheitsdienste beachten müssen.

Wann benötige ich einen Datenschutzbeauftragten?

Die Anforderungen an die Notwendigkeit eines DSB sind, wie oben erwähnt, sowohl in der DSGVO als auch im BDSG festgeschrieben. In Art. 37 Abs. 1 legt die DSGVO fest, wann ein DSB zu benennen ist. Für Sicherheitsdienste sind diese DSGVO-Anforderungen in den meisten Fällen nicht relevant. Denkbar sind Konstellationen, in den Sicherheitsdienste im Rahmen ihrer Kerntätigkeit Daten verarbeiten, die in Art. 9 genannt werden (z. B. Gesundheitsdaten in Leitstellen im Werkschutz). Entsprechende Anwendungsfälle dürften sehr selten sein. Sie werden in diesem Artikel nicht weiter betrachtet. Aus der DSGVO an sich ergeben sich keine besonderen Anforderungen für Sicherheitsunternehmen. Anders sieht es mit Blick auf das BDSG aus. In § 38 Abs. 1 BDSG werden zusätzliche Kriterien für die Notwendigkeit eines DSB definiert.

Vorsicht: Die Mitarbeiterzahl allein ist nicht ausschlaggebend

Ein betrieblicher DSB ist demnach notwendig, wenn mindestens zehn Personen ständig automatisiert personenbezogene Daten verarbeiten. Die Notwendigkeit besteht also schon, wenn im Unternehmen mindestens zehn Personen E-Mails im betrieblichen Auftrag empfangen (und versenden). Der Bundestag hat jüngst beschlossen, die Schwelle auf 20 Personen anzuheben [1]. Kleine Sicherheitsunternehmen können hier aber nicht aufhören zu lesen! Satz 2 des § 38 Abs. 1 BDSG hat es für Sicherheitsunternehmen in sich. Hier legt der Gesetzgeber fest, dass ein DSB dann notwendig ist, wenn das Unternehmen eine Datenschutz-Folgenabschätzung durchführen muss.

Was ist eine Datenschutz-Folgenabschätzung?

Zugegeben, die Regelung für die Notwendigkeit eines DSB bei der Notwendigkeit einer Datenschutz-Folgenabschätzung ist um die Ecke gedacht. Im BDSG wird auf Art. 35 der DSGVO verwiesen. Ein Blick in diesen Artikel offenbart einen Kaugummi-Paragrafen. Die DSGVO verlangt eine Folgenabschätzung, wenn „ein hohes Risiko für die Rechte der Betroffenen besteht“. Dies sei insbesondere der Fall, wenn „neue Technologien“ eingesetzt werden. Diese Formulierung kann sicherlich zu abendfüllenden Diskussionen mit Juristen und Hobby-Juristen führen. Die Notwendigkeit einer solchen Regelung ergibt sich aber, weil der Gesetzgeber nicht alle Anwendungsfälle erfassen kann. Die Datenschutzbehörden werden in der DSGVO verpflichtet eine Liste zu veröffentlichen, die Aufschluss über die Notwendigkeit einer Datenschutz-Folgenabschätzung gibt. Dieser Verpflichtung sind die deutschen Behörden nachgekommen. Die sogenannte Muss-Liste kann z. B. bei der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg heruntergeladen werden: https://www.lda.brandenburg.de/media_fast/4055/DSFA_Muss_Liste_Allgemein_17102018.pdf

Datenschutz-Folgenabschätzungen dürften in vielen Sicherheitsunternehmen notwendig sein

Ein Blick in die Liste, die unter den deutschen Aufsichtsbehörden abgestimmt ist, verdeutlich, dass in Sicherheitsunternehmen einige der genannte Verarbeitungsvorgänge vielfach Anwendung finden. Zum einen sind alle Unternehmen, die ihre Mitarbeiter oder Fahrzeuge mittels GPS-tracken verpflichtet eine Folgenabschätzung durchzuführen (vgl. Nr. 4 der Muss-Liste). Das Verwaltungsgericht Lüneburg machte in einem Teilurteil (Az. 4A 12/19) klar, dass im Beschäftigungskontext der Einsatz von Ortungssystemen im Detail geprüft werden muss. Sicherlich stellt das Urteil keine Grundsatzentscheidung dar, da sie sich insbesondere auf das alte BDSG bezieht. Die Durchführung einer Datenschutz-Folgenabschätzung bei der Verwendung von Ortungssystem (im Fahrzeug, im Funkgerät, im Smartphonem, etc.) ist unter Beachtung dieser Entscheidung und der Muss-Liste aber ableitbar. Das Gericht weißt sehr deutlich auch im Kontext der DSGVO darauf hin, welche Risiken (wir erinnern uns: hohes Risiko = Folgenabschätzung) mit der Geolokalisierung verbunden sind.

Wächterrundgang als Anwendungsfall für eine Datenschutz-Folgenabschätzung

Ein weiterer Anwendungsfall, der Sicherheitsunternehmen zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet, sind Hilfsmittel zur Erstellung von Bewegungsprofilen anhand der Position von Mitarbeitern (vgl. Nr. 8 der Muss-Liste). Ein solches Hilfsmittel sind Protokollsysteme für Rundgänge („Wächterrundgang“). „Wachleute“ werden explizit als Beispiel genannt. Es besteht nach Ansicht der Datenschutzbehörden das Risiko, dass sich aus der Nutzung solcher Technologie „Rechtsfolgen für die Betroffenen ergeben“ oder die Beschäftigten „in anderer Weise erheblich beeinträchtigt werden“. Gemeint ist sicherlich, dass anhand der erstellten Bewegungsprofile Leistungsmessungen stattfinden und/oder arbeitsrechtliche Konsequenzen auf Grundlage der Bewegungsprofile abgeleitet werden können. Es spielt in diesem Zusammenhang keine Rolle, wie die Daten erhoben werden (z. B. mobile System mit RFID, Scanner oder per GPS).

Ein weitere Verarbeitungstätigkeit, für die die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß Muss-Liste beschrieben ist, ist die „Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke“ (Muss-Liste Nr. 1). Sicherheitsunternehmen, die mit Fingerabdrucksensoren arbeiten, müssen also ebenso eine Folgenabschätzung vornehmen.

Datenschutz-Folgenabschätzung heißt nicht Verbot

Die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung kommt keinem Verbot gleich. Vielmehr dient die Folgenabschätzung der Erhebung der Risiken, der Ableitung von Maßnahmen und die vorherige Abstimmung mit der zuständigen Datenschutzbehörde (Art. 36 Abs. 1 DSGVO). Ziel der Folgenabschätzung ist klar darzustellen für welche Zwecke die Daten erhoben werden, warum dies notwendig ist und dass die Rechte der Betroffenen gewahrt werden (Art. 35 Abs. 7 DSGVO). Grundsätzlich ist also gegen den Einsatz von GPS-Tracking und Wächterkontrollsystemen nichts einzuwenden, solange diese datenschutzkonform eingesetzt werden. Es wäre aber beispielsweise unzulässig, wenn die GPS-Daten eines Flottenfahrzeugs drei Monate lang gespeichert werden, wenn der Zweck der Schutz des Mitarbeiters ist. Hier würde eine wesentlich kürzere Speicherdauer ausreichen.

Datenschutzbeauftragter unterstützt fachlich bei der Datenschutz-Folgenabschätzung

Um eine Datenschutz-Folgenabschätzung durchzuführen, ist einiges an technischem (z. B. IT-Sicherheit) und rechtlichem Wissen notwendig. In der Logik des Datenschutzrechts ist deshalb eine fachkundige Unterstützung vorgeschrieben (= Pflicht zur Benennung eines DSB). Dank der fachlichen Anforderungen an den DSB (Art. 37 Abs. 5 DSGVO) kann er bei der Durchführung einer Abschätzung helfen. Um eine angemessene Berücksichtigung der Rechte der Betroffen (also z. B. der Mitarbeiter) zu gewährleisten, fordert das BDSG einen DSB, wenn eine Folgenabschätzung notwendig ist.

 Abbildung 1 zeigt als Zusammenfassung schematisch die Kriterien für die Notwendigkeit eines DSB.

Datenschutz im Sicherheitsdienst: Wann benötige ich einen Datenschutzbeauftragten?

Abbildung 1:Schematische Darstellung der Notwendigkeit eines Datenschutzbeauftragten für Sicherheitsunternehmen

Datenschutzbeauftragter als Berater der Geschäftsführung

Die Rolle des DSB ist in der DSGVO klar geregelt. Ähnlich wie die Fachkraft für Arbeitssicherheit, kommt dem DSB eine beratende Funktion zu. Er ist weisungsfrei (Art. 38 Abs 2 Satz 1 DSGVO) und bei allen Fragen des Datenschutzes frühzeitig einzubeziehen (Art. 38 Abs. 1 DSGVO). Zu den Aufgaben eines DSB zählen die Beratung der Geschäftsführung (z. B. bei der Datenschutz-Folgenabschätzung), die Unterrichtung der Beschäftigten, die Überwachung der Einhaltung der DSGVO, des BDSG und anderer datenschutzrechtlicher Vorgaben (Art. 39 Abs. 1 lit. a – c DSGVO).  Zudem dient der DSB als Ansprechpartner für die Datenschutz-Aussichtsbehörde (Art. 39 Abs. 1 lit. d und e DSGVO). Der DSB muss der Datenschutzbehörde aus diesem Grund namentlich benannt werden (Art. 37 Abs. 7 DSGVO). Bevor Sicherheitsunternehmen mit einer Datenschutz-Folgenabschätzung für das GPS-Tracking zur Behörde gehen, sollten sie einen DSB benennen. Andernfalls liegt ein Datenschutzverstoß vor, der teuer werden kann.

 

Stellung des Datenschutzbeauftragten im Unternehmen

Die Funktion des DSB ist offensichtlich nicht unbedingt geeignet, um (zumindest beruflich) der beste Freund der Geschäftsführung zu werden. Der DSB muss stets die Sicht der Betroffenen einnehmen und muss die wirtschaftlichen Erwägungen des Unternehmens hinten anstellen. Diesen Umstand würdigt die DSGVO mit der Verpflichtung der Vermeidung von Interessenskonflikten (Art. 38 Abs. 6 Satz 2 DSGVO). Außerdem stellt der Gesetzgeber die Tätigkeit unter besonderen Schutz. Zum einen steht dem DSB ein direktes Berichtsrecht an die Geschäftsleitung zu (Art. 28 Abs. 3 Satz 3 DSGVO). Zum anderen genießt der DSB ein besonderes Kündigungsrecht (zumindest, wenn er aufgrund deiner gesetzlichen Verpflichtung benannt wurde). Ein DSB darf nicht ohne wichtigen Grund gekündigt werden. Nach dem Ende der Tätigkeit muss er noch für ein Jahr weiterbeschäftigt werden (§ 38 Abs. 2 BDSG i. V. m. § 6 Abs. 4 BDSG).

 

Externer Datenschutzbeauftragter zulässig und sinnvoll

Insbesondere für kleine Sicherheitsunternehmen wird es schwer die Anforderungen an die Positionen des DSB und das notwendige Fachwissen durch eigene Mitarbeiter zu erfüllen. Aufgrund der Verpflichtung zur Vermeidung von Interessenskonflikten scheiden Mitarbeiter des Managements (z. B. Mitglieder der Geschäftsführung, Verantwortliche für das operative Geschäft, IT-Verantwortliche oder Leitung der Personalabteilung) generell aus. Als Faustregel gilt die Person darf nicht Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen [2]. Letztlich kann es auch aufgrund der besonderen arbeitsrechtlichen Stellung des DSB aus unternehmerischer Sicht sinnvoll sein, auf die Bestellung eines Mitarbeiters zu verzichten.

Die DSGVO lässt dem Unternehmer die Option offen, einen externen DSB zu bestellen (Art. 37 Abs. 6 DSGVO). Das bedeutet, dass Unternehmen einen Dienstleister beauftragen, der die Funktion des DSB übernimmt. In diesem Fall ist ein Interessenskonflikt ausgeschlossen und es gelten keine besonderen arbeitsrechtlichen Regelungen. Ein weiterer Vorteil ist, dass die Haftung für die Datenschutzberatung auf den Dienstleister übertragen werden kann.

 

Vorsicht bei der Vertragsgestaltung

Es gibt inzwischen eine Vielzahl von Unternehmen, die die Dienstleistung „externer DSB“ anbieten. Unternehmen sollten darauf achten, dass bei der Beauftragung nicht nur eine niedrige Bereitstellungspauschale verlangt wird. Ein Datenschutzbeauftragter muss in alle Fragen des Datenschutzes einbezogen werden. Das bedeutet, dass auch ein externer DSB regelmäßig mit dem Unternehmen kommunizieren muss und umgekehrt. Es empfiehlt sich im Vertrag zu vereinbaren, dass mit der pauschalen Vergütung auch ein Grundkontingent an Stunden vereinbart wird. Andernfalls besteht immer eine Hürde, wenn der DSB befragt wird, weil sofort zusätzliche Kosten auflaufen.

 

Fachkunde kritisch hinterfragen

Ein weiterer wichtiger Punkt, den Sicherheitsunternehmen bei der Auswahl eines Dienstleisters beachten sollten, ist die Qualifikation. Die DSGVO schreibt zwar in Art. 37 Abs. 5 vor, dass ein DSB gewisse Qualifikationen mitbringen muss, fasst dies aber sehr weit. Diesen Umstand machen sich einige (unseriöse) Schulungsanbieter zunutze und bieten reine Online-Schulungen auf Grundlage von ausgedachten Standards an. Am Ende hat der DSB zwar ein Zertifikat aber keine Fachkunde. Unternehmen sollten deshalb hinterfragen, ob eine Fachkraft für Arbeitssicherheit mit Zusatzqualifikation Datenschutzbeauftragter über das notwendige Fachwissen in Bezug auf IT-Sicherheit verfügen (was grundsätzlich nicht ausgeschlossen aber selten ist).

 

Mit Bestandsaufnahme und individueller Beratung beginnen

Ein sinnvolles Vorgehen ist es, im Rahmen einer Datenschutz-Management-Beratung zunächst einmal den Stand des Unternehmens erheben zu lassen. Im Rahmen einer Potenzialanalyse können die wichtigsten Handlungsfelder identifiziert und ein individueller Plan erarbeitet werden. Eine entsprechende Bestandsaufnahme kann u. U. in großen Teilen durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle gefördert werden. Das Ergebnis kann dann auch die Auswahl eines geeigneten internen oder externen DSB sein.

Durch eine Beratung beim Aufbau eines Datenschutz-Managementsystems etablieren Sie die notwendigen Prozesse, um die Anforderungen der DSGVO umzusetzen. Durch einen erfahrenen Sicherheitsberater können Sie sich professionelle Unterstützung ins Haus holen. Dank der Bandbreite und des Netzwerks der Krisensicher Risikoberatung, schaffen Sie im Rahmen der Beratung auch zusätzliche Mehrwerte, z. B. im Qualitätsmanagement.

Sprechen Sie mich an und vereinbaren Sie einen Termin zur Bestandsaufnahme in Ihrem Unternehmen. Werden Sie krisensicher.

[1] BT-Drs. 19/11181, verfügbar unter: http://dipbt.bundestag.de/dip21/btd/19/111/1911181.pdf (aufgerufen am 04.08.2019)
[2] EDSA (o.D.). WP 243 – ANHANG – Häufig gestellte Fragen [online] Verfügbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/Artikel-29-DS-Gruppe/Art29-WP243_Anhang.pdf (aufgerufen am 04.08.2019), Seite 5

    Kontakt aufnehmen

    14 + 4 =

    Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Ihren Besuch stimmen Sie unserer Datenschutzerklärung zu. Klicken Sie auf den Button für mehr Informationen.